Las auditorías web copan muchos de los trabajos que un profesional del sector de la seguridad informática tiene que llevar a cabo. Las aplicaciones web y los servidores que exponen dichas aplicaciones son elementos con un nivel de exposición alto, por ello las empresas deben auditarlos de manera constante, ya que pequeños cambios puede suponer un incremento alto del riesgo.
Las auditorías web se engloban en las auditorias de caja negra, debido a que el rol que el auditor asume es el de un usuario que no tiene conocimiento de cómo está hecho el sistema, ni acceso al código, ni privilegios. En el presente libro se recorren diferentes fases y técnicas que un pentester debe conocer para enfrentarse a los entornos web de una organización.
No solo de SQL Injection vive el pentester y en el presente libro se han querido explorar nuevas tendencias como son la NoSQL Injection, ejemplificando en la base de datos no relacional MongoDB. Cada vez hay más sistemas que se apoyan en este tipo de base de datos, y por esta razón es importante conocer qué vulnerabilidades presente y cómo se pueden llegar a explotar y sacar provecho para una auditoría. Otras técnicas como LDAP Injection o XPath Injection también pueden ser estudiadas por el lector en el transcurso del libro. La técnica LDAP Injection permite a un pentester evaluar la seguridad de las consultas y los filtros. Respecto a XPath Injection el lector podrá encontrar la explicación de la vulnerabilidad y los casos en los que se puede explotar y sacar provecho.
En el libro también se muestran diferentes técnicas para intentar ejecutar código en el servidor a través de parámetros no validados correctamente. Vulnerabilidades como la inyección de comandos permite llevar a cabo este tipo de acciones, otorgando control sobre el sistema. En ese instante habrá que tener claro los permisos con los que se está ejecutando la aplicación, ya que eso será fundamental para tener un control total o no. Otras vulnerabilidades que se podrán estudiar serán las conocidas como LFI, Local File Inclusion, y RFI, Remote File Inclusion.
Investigaciones como Connection String Attacks también tienen cabida en este libro, y es que cuando una aplicación trabaja con un repositorio de datos externo necesita configurar cómo llevar a cabo el acceso al mismo. El almacén de datos puede ser un fichero en el sistema operativo, una base de datos relacional o no, un árbol LDAP o una base de datos XML. En cualquier situación puede identificarse la ubicación del repositorio de datos mediante una cadena de conexión. Estas cadenas tienen una sintaxis que dependerá del motor de base de datos al que se conectan como el proveedor que se utilice. En el presente libro se estudiará cómo aprovecharse de este tipo de conexiones para obtener un privilegio.
También se tratarán los conocidos como info leaks, y es que la información que se puede obtener mediante la información que devuelve el servidor puede ser de gran utilidad en un proceso de auditoría web. Además, aplicando técnicas de fuzzing, se puede obtener gran cantidad de información interesante para el proceso.